Weinig oog voor applicatie-monitoring netwerken
Bij de OM-hack dook de naam van Citrix op dat via zijn oplossing NetScaler werknemers op afstand toegang geeft tot interne systemen. De Amerikaanse securitysoftware-leverancier behoort tot de top van ict-bedrijven waarbij aan de lopende band patches nodig zijn. Niet verwonderlijk dat Citrix de lijst aanvoert van meest misbruikte softwarekwetsbaarheden die de FBI, NSA en andere internationale cyberveiligheidsautoriteiten opstelde. Had het Openbaar Ministerie beter moeten weten?
Dat Citrix vaak in het nieuws is, komt doordat er tegenwoordig veel meer kwetsbaarheden worden gemeld dan vroeger, stelt Dimitri van Zantvliet, voorzitter van CISO Platform Nederland. ‘Dus moet je als it-organisatie ook rekening houden met veel meer patches. Hou dus de trends in de gaten, stel vast welke leveranciers veel last hebben van kwetsbaarheden en handel daar naar.’
Tegen een zero day kun je op zich weinig doen, behalve op tijd patches doorvoeren en de laatste softwareversies gebruiken, vervolgt Van Zantvliet. ‘Maar het gaat om veel meer dan remote access. Essentieel is dat je voldoende waterschotten in je netwerkomgeving hebt ingebouwd. Met andere woorden: zorg voor netwerksegmentatie, firewalls, early detection van anomalieën en 24uurs monitoring. Breng dus een gelaagde beveiliging aan zodat een hacker niet lateraal door je netwerk kan gaan.’
Daarnaast wijst de voorzitter van het Ciso-platform op twee andere noodzakelijke acties bij het beveiligen van je netwerkomgeving: encrypt je belangrijke bestanden en regel een backup- en recovery-mechanisme.
Statelijke actoren
Het AD meldde dat hoogstwaarschijnlijk Rusland achter de cyberaanval op het OM zit. Het zou Van Zantvliet niets verwonderen. De statelijke actoren hebben het voortouw genomen bij cyberaanvallen, daar waar het zo’n tien jaar geleden de script kiddies en de pukkelige nerds waren die instellingen aanvielen. ‘Dat blijkt ook uit de ‘dreigingsanalyse vitale infrastructuren’ die het NCTV net heeft uitgebracht. We zullen met elkaar meer intelligence moeten uitwisselen en er is een grotere rol van de overheid nodig. Regelgeving als NIS2 en de Wwke helpen daarbij. Organisaties in de vitale sector kunnen het niet in hun eentje bolwerken.’
‘Feitelijk kunnen we nu nog alleen constateren dat er bij het OM te laat is gepatcht. Voor de hand liggende oorzaken aanwijzen is te makkelijk. We weten gewoon niet wat daar gebeurd is. We weten ook niet eens wat de scope is,’ relativeert Erik de Jong, chief research officer (cro) van cybersecuritybedrijf Tesorion. ‘Het OM heeft het eigen systeem onderzocht, daar zijn sporen van een aanval gevonden, en daarna heeft het OM besloten zichzelf af te sluiten en onderzoek te gaan doen.’
Een bocht missen
Wat het OM uiteraard ‘gewoon’ had móeten doen is die patch op tijd installeren, vindt De Jong. Al wil hij het op dat punt opnemen voor organisaties zoals het OM. ‘Het lijkt zo simpel, je hebt een patch en die moet je gewoon installeren. Maar het is behoorlijk complex om zo’n omgeving continu up-to-date te houden. Dat is uiteraard geen excuus, maar organisaties hebben dagelijks te maken met meerdere patches die zij moet uitrollen. Ze moeten daar prioriteiten in aanbrengen.’
De vraag is, stelt de Tesorion-cro, of het bij het OM een chaos is of dat het de boel netjes op orde heeft en dat dit gewoon een foutje was. ‘Want dat kan: zelfs de beste autocoureur mist wel eens een bocht.’
Of het OM te laat heeft gereageerd na het specifieke alert van het NCSC kan CISO Platform Nederland-voorzitter Van Zantvliet niet goed beoordelen. ‘Het hangt er ook vanaf of er logfiles zijn. Als je die hebt, moet je ze eerst correleren, dat kost tijd. Ik wens ze allereerst een spoedige recovery toe.’
Applicatie-monitoring
Netscaler is al ruim vijfentwintig jaar oude technologie, maar op zich nog steeds een prima oplossing mits je op tijd de patches doorvoert, als die er zijn, zegt een aantal cybersecurity-experts van Computable. Het is lange tijd populair geweest omdat het een goede oplossing is voor de standaard werkplek. Daarom is Netscaler nog veelvuldig terug te vinden bij onder meer de rijksoverheid, gemeenten, zorginstellingen en banken.
Citrix was altijd een gevestigde naam op gebied van remote access maar de vraag is of dat blijft met de nieuwere zero-trust- en ai-native oplossingen die de markt bestormen, zegt Van Zantvliet. Dat soort oplossingen combineert netwerk- en beveiligingsfuncties in één cloudplatform, centraal geregeld en ai-gestuurd. Dat zijn in zijn ogen toekomstbestendige oplossingen.
Alleen, wijzen de Computable-experts erop, applicatie-monitoring is nog niet zo gebruikelijk in de netwerk-wereld. Het probleem bij Citrix Netscaler is de manier waarop wordt ingelogd. Het is een applicatieve oplossing, logs worden in een soc meestal niet bijgehouden. Dat gebeurt vooral bij oplossingen die direct aan het netwerk zijn gelinkt, zoals firewalls en endpoint solutions. De it-organisaties zouden hierover, zeker na de hack bij het OM, goed over moeten nadenken: moeten zij hun beveiligingsbeleid hierop aanpassen en dit ook monitoren?
Schaarste en budget
Bijkomende vraagstukken zijn de schaarste aan ciso’s (een weinig populaire functie met veel verantwoordelijkheid) en budgettering. Recent organiseerde bijvoorbeeld securitybedrijf NFIR een bijeenkomst voor lokale overheden over cyber-crisissimulatie. Daar bleek onder andere dat het securitybudget een probleem kan worden voor gemeenten. De top 15 heeft nog wel budget, maar daaronder wordt het tobben.
Een algemene tip voor organisaties is om aan hun cybersecurityleveranciers constant vragen te stellen over patches en updates. Én om daarna de antwoorden te checken, aldus de Computable-security-experts.
Met medewerking van Bouko de Groot.
Ik geloof niet dat de statistiek van Dimitri opgaat als de andere oplossingen door een betere kwaliteitscontrole een lager aantal kwetsbaarheden hebben. Het verschil tussen veilig ‘by design’ en ‘by patch’ zit namelijk in het ontwerp omdat complexiteit geen excuus is. Zero Trust gaat om de extra maatregelen die je moet nemen omdat het product dat je moet beschermen er niet in voorziet waardoor je telkens moet patchen. En deze updateritis is een grote beheerlast waardoor je altijd op achterstand staat.
Het is niet de coureur die een bocht mist maar een circuit vol bochten wat afgelegd moet worden met een auto die wat veiligheidsopties mist. Want hopen op een patch en intussen vertrouwen op de mitigaties die niet werken gaat om het semantische verschil tussen beheerbaar en beheersbaar. En de Zwarte Piet is dus in de eerste plaats voor de CISO die veiligheid als een product ziet. Een euvel wat niet voorkomt uit schaarste aan CISO’s maar uit een gebrek aan kennis van de infrastructuur, het bochtige circuit waar weleens een bocht afgesneden wordt.
Verify, don’t trust door het antwoord op de vragen te controleren middels testen klinkt als terug in de tijd als het om kwaliteitscontrole gaat. Budgettaire problemen oplossen door bochten af te snijden is vol gas rechtdoor want dat veiligheid geld kost blijkt wel uit het verhogen van het defensiebudget want de Zwarte Piet wordt doorgeschoven.
Mbt speculeren en voorbarig, geeft men zelf het antwoord:
“‘Feitelijk kunnen we nu nog alleen constateren dat er bij het OM te laat is gepatcht. Voor de hand liggende oorzaken aanwijzen is te makkelijk. We weten gewoon niet wat daar gebeurd is. We weten ook niet eens wat de scope is,’ relativeert Erik de Jong, chief research officer (cro) van cybersecuritybedrijf Tesorion. ‘Het OM heeft het eigen systeem onderzocht, daar zijn sporen van een aanval gevonden, en daarna heeft het OM besloten zichzelf af te sluiten en onderzoek te gaan doen.’”
En met never waste a good crisis helpt computable graag mee met zijn zogenaamde Computable-security-experts, die met naam en toenaam van bedrijven mogen komen opdraven.
Want het draadje verloopt naar verwachting.
Eerst hoop heisa erg-en-verselijk over wat er wellicht is gebeurd.
Maar daarom niet getreurd, want weer tijd voor de de opportunities.
Bij elkaar zeker een aantal artikelen waard.
Beter gelaagde commercie dan gelaagde security.
Speculeren en voorbarig als verdienmodel.
Zo begint computable steeds meer op een mix van rtl boulevard en harry mens businessclass te lijken. compleet met Kiss-Cam gate:”Volgens liplezers op sociale media zou de directeur ‘F***ing hell, it’s me’ geroepen hebben. Ook zijn blik verraadt schrik. De personeelschef sloeg de handen voor de ogen. Vervolgens wist het stel niet hoe snel ze zich uit de voeten moesten maken om niet meer in beeld te hoeven komen.”
aldus computable in coldplay-concert-wordt-nachtmerrie-voor-software-ceo-astronomer.
Gemiste kan om die liplezers op social media niet uit te nodigen als computable multi media experts.
Benieuwd wie de award voor in rubriek computable-IT-juice dit jaar in de wacht sleept.
In allerlei organisaties en bedrijven worden persoonsgegevens en bedrijfsdata opgeslagen in leesbare tekst, vaak ook nog binnen hetzelfde database model.
De toegang tot bepaalde gegevens wordt meestal afgeschermd met een hiërarchische toegangsschil waardoor alleen bevoegde personen of api’s de data kunnen raadplegen en/of muteren.
Dit ontwerp van het Datamodel en gegevenstoegang is al behoorlijk gedateerd en zeker nu met (externe) Cloudopslag en outsourcing van ICT diensten zijn de toegenomen risico’s enorm toegenomen door cybercriminaliteit.
Een grootschalige innovatie is op zijn plaats. Een nieuw ontwerp, waarbij alle data versleuteld wordt opgeslagen in combinatie met een geavanceerde autorisatie en authenticatie kan voorkomen dat grote hoeveelheden persoonsgegevens en vertrouwelijke data kan worden gestolen bij een datalek.
De ontsleutelde data dient alleen te worden getoond aan de daartoe bevoegde personen die zowel volgens de access controles toegang hebben en encryptiesleutels mogen gebruiken op record niveau.
Eventuele mailingbestanden voor bijv. direct marketing doeleinden moeten dan eerst off-line worden gebracht alvorens zij worden verwerkt tot leesbare tekst.
Op dit gebied kunnen nog veel slimme oplossingen en maatregelen worden uitgewerkt en toegepast.
Lang verhaal kort gemaakt verwijt Dino de redactie dat ze voor de kijkcijfers van een mug een olifant maken. Punt is alleen dat Dino zichzelf schuldig maakt aan wat hij de anderen verwijt met zijn retorische overdrijving, cynisme en beeldspraak als het om ‘never waste a good crisis’ gaat. Want exploitatie van meningen kent niet alleen een ethisch probleem maar ook een juridisch risico omdat het geen wegwerpproducten zijn.
Wanneer de gebruikelijke suspects blijven hangen in het zoeken naar “wie keek geschrokken op een kiss-cam” missen we de echte plot van structurele tekortkomingen in digitale weerbaarheid. Want dat dezelfde wapens in omloop zijn gaat om een specifieke kwetsbaarheid — al jaren bekend — als bruikbare aanvalsvector in kritieke infrastructuren. Ik heb daarom een mening over het bochtige circuit van wat achter de façade van Citrix ligt. Want OM-hack vertoont namelijk dezelfde risico-dynamiek als DigiNotar omdat we het over één ophaalbrug tot de burcht hebben welke werd opgehaald toen NCSC wees op het feit dat er misbruik werd gemaakt van een bekende kwetsbaarheid.
Speculatie over hoe lang en door wie is niet relevant want statelijke actoren geldt ook een scheef salarishuis, de gebruikelijke agitprop vergeet dan de dijkgraven van CISO’s. goed betaald maar slecht geïnformeerd mist Computable de journalistieke kennis om te graven naar een structureel falen verpakt als incident. Herinner me dat één spreker op het komende Jaarbeurs event op dat euvel wijst want de bestuurlijk-juridische kant van de IT faalt wederom met hoofdletters als het om meningen als wegwerpproducten gaat.
DigiNotar toonde aan wat er gebeurt als je de Chain of Custody breekt en de OM-hack toont aan dat we nog steeds op die breuklijn staan. Wat betreft overschot aan institutionele vergeetachtigheid struikelen bestuurders op het bewijs, niet iedereen is het bonnetje van Teeven vergeten. Want het verschil tussen een mening en een besluit gaat om de context van de macht, schuldpresumptie van Kiss-Cam gate is niet anders dan Polaroid. Verstrengeling van belangen maakt een kort verhaal weer lang maar quid pro quo zit er niks in voor Dino en mij.
mis je nou een discussie op niveau 😛 ?
schaak spelen op meerdere borden, alleen ze willen niet meespelen.
net als de politicus met “laten we terug gaan naar de inhoud”
die wantrouw ik altijd het meeste 😉
computable gaat niet over inhoud.
niet over availability door uitwijk of redundantie, maar over markt.
daar hoeft inhoud geen content te zijn.
content is gewoon vulling die omzet genereert, leads.
goed geinformeerd deed dhr koelmans een paar pogingen.
bijv waarom l3 filtering niet optioneel is.
3 minuten leestijd.
onderbouwd betoog, maar dank u. geen interesse
en “overheid, practice what you preach!”
nog zo een.
geeft misschien precies aan waar het mis gaat.
preach and practice is als content en inhoud.
Redactionele verantwoordelijkheid gaat om de content volgens jurisprudentie want de redactie blijft aansprakelijk als er sprake is van een onrechtmatige daad zoals smaad. Ik betwist je niet Dino want ik wees al op schuldpresumptie die sterker moet zijn dan insinuaties omdat de redactie zich anders op het gladde ijs van smaad begeeft. Rik Sanders maakt duidelijk dat hij geen klok heeft om zijn klepels in te hangen en ik voorspelde op 26 juli dat de Zwarte Piet doorgeschoven zou gaan worden, de tijdslijnen doen het altijd goed in de Chain of Custody.
Schaken op meerdere borden veranderd niks aan het feit dat je vooruit moet denken omdat structureel falen verpakken als incident om herhaalbaarheid van: ‘Never waste a good crisis’ gaat waardoor Rik Sanders kan leven op de crisisexploitatie, ermee leven gaat om zijn integriteit. En hetzelfde geldt voor de breuklijn van het OM want het gaat niet om IT als dit (bedrijfs)middel uitbesteed kan worden aan marktpartijen die druk zijn met alle achterliggende contracten omdat de gevraagde onderhouds- en reparatiediensten voor de software om het mitigeren van een patch risico gaat. Een juridische leuke clausule hierin gaat om de snelheid waarin een leverancier de 0-day weet op te lossen.
Ik gun al mijn concurrenten contracten met lage marges en hoge risico’s want de concurrentiegerichte dialoog is een flexibele aanbestedingsprocedure waarbij de overheid met geselecteerde marktpartijen oplossingen ontwikkelt voor een complex probleem. Maar het echte probleem is de betaling want ik ben benieuwd naar de inbreng van security-by-design, netwerksegmentatie en de zero-trust-principes omdat een ongeoorloofd gebruik van intellectueel eigendom moeilijk aantoonbaar is maar vaak gebeurt. Beter goed gejat dan slecht bedacht zit in de exploitatie van meningen een juridisch risico omdat het geen wegwerpproducten zijn.